Пользователей смартфонов под управлением Android и iOS в Италии и Казахстане обманом заставили установить вредоносное приложение, которое крадет конфиденциальную информацию с устройства. Отчет о новой атаке появился в блоге Google, передает gazeta.ru.
Ответственной стороной за распространение вредоносного ПО называется итальянская компания RCS Labs.
Отмечается, что жертва получает сообщение, в котором говорится, что доступ к учетной записи был утерян и для восстановления необходимо перейти по ссылке, отправленной злоумышленниками. При переходе по ссылке жертву встречают поддельные сайты, имитирующие интерфейс популярных сервисов. Например, одна из таких ссылок вела на фейковый сайт Samsung, откуда необходимо было скачать «фирменное» приложение компании.
В случае, если пользователь применял Android-устройство, на его смартфон загружался установочный apk-файл. Затем жертва выдавала разрешения программе для доступа к сети, учетным данным пользователя, контактам и ко внутренней памяти устройства.
Поскольку приложения для Android можно устанавливать не только из Google Play, злоумышленникам не нужно было убеждать жертв устанавливать специальный сертификат, как в случае с iPhone.
После установки сертификата, а также вредоносного приложения на iOS шпионское ПО использует шесть различных системных эксплойтов для извлечения информации с устройства. При этом приложение было разбито на несколько частей, каждая из которых использовала определенный эксплойт. Так, например, четыре из них были написаны джейлбрейкерами и умели обходить проверку и получать полный доступ к системе.
Google внес изменения в Google Play Protect и отключил некоторые проекты, используемые злоумышленниками. Аннулировал ли Apple сертификат мошенников, остается неизвестным.